WO 2005/052703 PCT/DE2003/003793 

WStiftartii) lu BAY 

Beschreibung 

Redundantes Automatisierungssystem zur Steuerung einer tech- 
nischen Einrichtung sowie Verfahren zum Betrieb eines derar- 
5 tigen Automatisierungssystems 



Die Erfindung betrifft ein redundantes Automatisierungssystem 
zur Steuerung einer technischen Einrichtung sowie ein Verfah- 
ren zum Betrieb eines solchen Automatisierungssystems, wobei 
10 mindestens zwei Automatisierungsgerate vorhanden sind. Ein 
erstes dieser Automatisierungsgerate wird dabei als Master- 
Automatisierungsgerat und ein zweites der Automatisierungsge- 
rate als Stand-by-Automatisierungsgerat betrieben. 

15 Die permanente Verfugbarkeit von Geraten und Systemen ist bei 

.■ 

der Automatisierung einer technischen Anlage - insbesondere 
einer Kraftwerksanlage - eine der wichtigsten Anf orderungen. 
Aus Grunden der Sicherheit zum Ausschluss einer moglichen Ge- 
fahrdung sowie aus Grunden einer sicheren Versorgung mit e- 
20 lektrischer Energie oder Gutern muss der Ausfall von Automa- 
tisierungssystemen und ein damit verbundener Stillstand von 
wichtigen technischen Anlagen weitestgehend vermieden werden. 

Zur Losung dieses Problems sind im Stand der Technik soge- 
25 nannte hochverfiigbare Automatisierungssysteme, beispielsweise 
SIMATIC S-7 H der Firma Siemens, bekannt, bei welchen prak- 
tisch alle Komponenten inkl. der Speicher- und Stromversor- 
gungseinheiten redundant vorhanden sind, so dass im Falle ei- 
nes Fehlers eines Automatisierungsgerat auf ein anderes, i- 
30 dentisch aufgebautes Automatisierungsgerat unterbrech- 

nungsfrei umgeschaltet werden kann. Die Automatisierungsgera- 
te sind dabei hinsichtlich ihrer Bef ehlsausf uhrung zueinander 
synchronisiert, so dass in beiden Automatisierungsgeraten 
vollkommen zeitparallel dieselben Daten verarbeitet werden 
35 und die selben Befehle ausgefuhrt werden. So ist es moglich, 
dass ein derartig betriebenes Stand-by-Automatisierungsgerat 
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die Funktion eines f ehlerbehaf teten Master- 
Automatisierungsgerats ubernimmt. 

Derartige hochverfiigbare Automatisierungssysteme sind bisher 
5 praktisch ausschlielilich auf Basis sogenannter speicherpro- 
grammierbarer Steuerungen (SPS) erhaltlich, in ihrer Anwen- 
dung kompliziert und in ihrer Anschaffung sehr kostspielig. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Automatic 
10 sierungssystem der eingangs genannten Art anzugeben, welches 
einf acher aufgebaut ist und bei welchem insbesondere Stan- 
dardkomponenten aus der Personal Computer-Technik weitestge- 
hend eingesetzt werden konnen. 

15 Bezuglich des Automat isierungs systems wird die Aufgabe gelost 
durch ein redundantes Automatisierungssystem zur Steuerung 
einer technischen Einrichtung mit den Merkmalen des unabhan- 
gigen Patenanspruchs 1. 

Die Erfindung geht dabei von der Oberlegung aus, dass eine 
der wichtigsten Vorraussetzungen zur Realisierung eines re- 
dundanten Automatisierungssystems in der Bereitstellung einer 
aktuellen Datenbasis, welche den Zustand der' technischen Ein- 
richtung und des Automatisierungssystems beschreibt, zu sehen 
ist, Eine Umschaltung von dem Master-Automatisierungsgerat 
auf das Stand-by-Automatisierungsgerat ohne merkliche Verzo- 
gerung ist dabei nur dann erreichbar, wenn beiden Automati- 
sierungsgeraten zum Zeitpunkt des Auftretens eines Fehlers 
die gleichen aktuellen Daten zur Verfugung stehen, so dass 
ein Umschalten auf das Reservegerat sofort und ohne „Daten- 
sprunge" moglich ist. 



20 



25 



30 



Im Stand der Technik der hoch verfiigbaren speicherprogram- 
mierbaren Steuerungen wird dies dadurch gelost, dass beide 
35 Automatisierungsgerate identisch aufgebaut sind und u.a. je- 
weils eine Speichereinheit umfassen, in welche aufgrund der 
oben bereits beschriebenen bef ehlssynchronen Abarbeitung die 
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gleichen Daten geschrieben und die gleichen Daten ausgelesen 
werden. 

Im Unterschied dazu ist bei der vorliegenden Erfindung vorge- 
sehen, dass zwar zwei Automatisierungsgerate vorhanden sind, 
dass aber fur diese nur eine gemeinsame Speichereinheit vor- 
gesehen ist, auf welche beide Automatisierungsgerate Schreib- 
und Lesezugriff haben. Insofern ist zum Stand der Technik der 
Realisierungsaufwand erheblich reduziert, da zum einen nur 
eine Speichereinheit notwendig ist und zum anderen daraus 
folgendend der erf orderliche Synchronisationsaufwand zwischen 
mehreren Speichereinheiten der Automatisierungsgerate ent- 
fallt. 

Die weitaus meisten Ausfalle von Automatisierungsgeraten ge- 
hen auf Fehlf unktionen beispielsweise der Ein- oder Ausgabe- 
karten, der Stromversorgung oder der CPUs der Automatisie- 
rungsgerate zuruck; von daher gesehen bietet die vorliegende 
Erfindung eine wirtschaf tliche, vereinfachte Losung fur die 
meisten in der Praxis zu bewaltigenden Redundanzprobleme der 
Automatisierung . 

Obwohl bereits einige Automatisierungslosung'en auf PC-Basis 
existieren, konnen diese bislang noch nicht ein stofifreies 
Umschalten auf das Reserve-Automatisierungsgerat gewahrleis- 
ten, da die erforderliche Synchronisation der Datenbasen, auf 
welche die Automatisierungsgerate zugreifen, mit bekannten 
Mitteln nicht in der erf orderlichen Geschwindigkeit stattfin- 
den kann. Ein stofifreies Umschalten bedeutet dabei, dass das 
Umschalten vom Master- auf das Reserve-Automatisierungsgerat 
(Stand-by-Automatisierungsgerat) praktisch ohne Auswirkungen 
auf die Ein- und Ausgangssignale des Automatisierungssystem. 
geschieht, so dass insbesondere Regelungen an genau der Stel- 
le weiter gefuhrt werden, an welcher das f ehlerbehaf tete Au- 
tomatisierungsgerat die Regelung abgebrochen hat. Dem Reser- 
ve-Automatisierungssystem mussen folglich zum Zeitpunkt der 
Obernahme der Regelung sogenannte Anfangswerte zur Verfiigung 
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stehen, welche die Vergangenheit des Regelungsvorgangs 
betreffen (umfasst sind dabei insbesondere Regelungsalgorith- 
men, welche einen Integral- und/oder Dif f erenzialanteil auf- 
weisen) . 

5 

Die vorliegende Erfindung lost das Problem einer aktuellen 
Datenbasis fur die Automatisierungsgerate dahingehend, dass 
dafiir nur eine gemeinsame Speichereinheit vorgesehen ist. 

10 Eine Losung zur Realisierung einer derartigen Speichereinheit 
in PC-Technik bei einem erf indungsgemafien Automatisierungs- 
system umfasst beispielsweise den Einsatz sogenannter „Re- 
flective Memories", welche als kommerziell erhaltliche PC- 
Baugruppen zur Verfiigung stehen. 

15 

Dadurch werden PCs, Workstations oder ^Embedded-Systems" 
(insbesondere mit unterschiedlichen Betriebssystemen) , in die 
Lage versetzt, praktisch in Echtzeit auf eine gemeinsame Da- 
tenbasis zuzugreif en . 

20 

Bei einem lokalen Rechner befindet sich die Reflective Memo- 
ry-Baugruppe beispielsweise im Adressraum des gemeinsamen 
Speichers der beteiligten Rechner eines Netzwerks. Dann kon- 
nen Daten von jeder Automatisierungsebene aus, insbesondere 
25 auch von einer Anwendersof tware, direkt in diesen Speicherbe- 
reich geschrieben und aus diesem Speicherbereich ausgelesen 
werden. Daten, die der lokale Rechner in diesen „Reflective 
Memory" schreibt, stehen dann automatisch alien anderen Rech- 
nern parallel und ohne Zeitverzogerung zur Verfiigung. 

30 

Aufgrund der besonderen technischen Ausbildung der Reflective 
Memory-Baugruppe beeinflusst der dabei stattf indende Daten- 
transport zwischen den Rechnern die normale Performance die- 
ses Rechners nicht. 

35 

In einer vorteilhaf ten Ausgestaltung der Erfindung ist wei- 
terhin ein Oberwachungsmodul vorgesehen, mittels welchem der 



WO 2005/052703 



PCT/DE2003/003793 



5 

Betrieb des Master-Automat isierungs systems uberwachbar und im 
Falle eines Fehlers des Master-Automatisierungsgerats ein Um- 
schalten auf das Stand-by-Automatisierungsgerat ermoglicht 
ist, welches daraufhin die Funktion des bisherigen Master- 
5 Automatisierungsgerats libernimmt. 

Bei dieser Ausf uhrungsf orm ist eine Oberwachung der Gerate- 
funlction inklusive einer Fehlererkennung realisiert. Bei- 
spielsweise umfasst das tiberwachungsmodul dabei die Auswer- 

10 tung eines sogenannten Lebenszeichens des Master- 
Automatisierungsgerats, wobei z.B. bei jedem Zyklus der Uber- 
prufung ein Kennwert verandert wird, falls das Master- 
Automatisierungsgerat f unktionstiichtig ist. Sollte dieser 
Kennwert bei einem Zyklus nicht verandert werden, so ist dies 

15 ein Indiz fur einen Fehler dieses Automatisierungsgerats und 
das Uberwachungsmodul nimmt den Umschaltvorgang auf das zuge- 
ordnete Stand-by-Automatisierungsgerat vor. 

Mogliche Fehler, welche eine Veranderung des genannten Kenn- 
20 werts verhindern, umfassen beispielsweise Hardware-Fehler 

und/ oder Betriebssystem- Fehler und/oder Anwendersoftwaref eh- 
ler . 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
25 sind im gemeinsamen Speicherbereich solche Zustandsdaten vor- 
handen, welche den aktuellen Betriebszustand der technischen 
Einrichtung und des Automatisierungssystems unmittelbar vor 
dem Zeitpunkt des Auftretens eines Fehlers des Master- 
Automatisierungsgerats beschreiben . 

30 

Dadurch ist es moglich, dass das Stand-by- 
Automatisierungsgerat die Funktion des bisherigen Master- 
Automatisierungsgerats sofort ubernehmen kann, da alle dafUr 
notwendigen Daten im gemeinsamen Speicherbereich abgelegt 
35 sind und vom Stand-by-Automatisierungsgerat zur Weiterverar- 
beitung ohne Zeitverzogerung ausgelesen werden konnen. 
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Die Zustandsdaten sollen dabei insbesondere solche Daten um- 
fassen, welche Anf angswerten von Regelungsalgorithmen ent- 
sprechen, so dass dem Stand-by-Automatisierungsgerat mittels 
dieser Anf angswerte auch die Historie der betreffenden Rege- 
5 lungsvorgange bekannt ist und die ' betreffenden Regelungen vom 
Stand-by-Automatisierungsgerat kontinuierlich weiter gefiihrt 
werden konnen. 

Ferner umfassen die Zustandsdaten solche Ein- und Ausgangsda- 
10 ten der technischen Einrichtung, welche vom Automatisierungs- 
system erfasst und/oder an die technische Einrichtung abgege- 
ben werden. Die Gesamtheit dieser Daten wird als Prozessab- 
bild bezeichnet. 

15 Besonders vorteilhaft geschieht das Umschalten stofifrei, in- 
dent mindestens ein Teil der im gemeinsamen Speicherbereich 
vorhandenen Daten vom Stand-by-Automatisierungsgerat als ak- 
tuelles Zustandsabbild der technischen Einrichtung und des 
Automatisierungssystems unmittelbar weiterverarbeitet wird. 

20 

Hierbei geschieht das Umschalten zwischen dem Master- 
Automatisierungsgerat und dem Stand-by-Automatisierungsgerat 
praktisch ohne Verzogerung unter kontinuierl'icher Weiterfuh- 
rung der Steuerung der technischen Einrichtung durch das 
25 Stand-by-Automatisierungsgerat . 

Die Erfindung fUhrt weiterhin zu einem Verfahren zum Betrieb 
eines redundanten Automatisierungssystems zur Steuerung einer 
technischen Einrichtung mit den Merkmalen des unabhangigen 
30 Patentanspruchs 5 . 

Vorteilhafte Ausgestaltungen des erf indungsgemaSen Verfahrens 
sind in den zugehorigen abhangigen Patentanspruchen niederge- 
legt . 

35 

Im Folgenden wird ein Ausf iihrungsbeispiel der Erfindung naher 
dargestellt . 



WO 2005/052703 



PCT/DE2003/003793 



7 

Es zeigt: 

FIG ein erf indungsgemalies redundances Automatisierungssystem. 

5 

In der Figur ist ein erf indungsgemalies redundantes Automati- 
sierungssystem 1 dargestellt, welches Automatisierungsgerate 
3a, 3b umfasst. Ein erstes Automatisierungsgerat ist dabei 
ausgebildet als ein Master-Automatisierungsgerat 3a, welches 
10 die Steuerung einer technischen Einrichtung ubernimmt. Die 
Signale aus der technischen Einrichtung sowie die Steuerbe- 
fehle an die technische Einrichtung werden dabei von Feldge- 
raten 17 verarbeitet und uber einen Feldbus 15 an die Automa- 
tisierungsgerate 3a, 3b ubermittelt. 

15 

Im Falle eines Fehlers des ersten Automatisierungsgerats 3a 
steht ein zweite Automatisierungsgerat zur Verfugung, welches 
als Stand-by-Automatisierungsgerat 3b ausgebildet ist und die 
Steuerungsaufgaben des ersten Automatisierungsgerats 3a uber- 
20 nehmen kann. 

Zur Fehlererkennung und Umschaltung vom ersten Automatisie- 
rungsgerat 3a auf das zweite Automatisierungsgerat 3b ist ein 
Uberwachungsmodul 23 vorgesehen. Dieses wertet u.a. ein Le- 
25 benszeichen 25 des ersten Automatisierungsgerats 3a aus und 
schaltet im Fehlerfall auf das zweite Automatisierungsgerat 
3b um, welches daraufhin die Steuerungsaufgaben des bisheri- 
gen Master-AutomatisierungsgerSts 3a ubernimmt. 

30 Die Automatisierungsgerate 3a, 3b besitzen jeweils eine CPU 

5a, 5b und ggf. einen Speicher 6a, 6b. Sie sind bevorzugt aus- 
gebildet als Personal Computer, bei welchen die Steuerungs- 
aufgaben als Tasks 7a, 7b aufgerufen und ausgefuhrt werden. Im 
Vergleich zu herkommlichen speicherprogrammierbaren Steuerun- 

35 gen laufen diese Automatisierungs-Tasks 7a, 7b deutlich 

schneller ab, weshalb bei derartig ausgebildeten Automatisie- 
rungsgeraten auf PC-Basis keine Bef ehlssynchronisation, son- 
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dern eine Task-Synchronisation stattfindet. Die Synchronisa- 
tion der sich jeweils entsprechenden Tasks 7a, 7b findet mit- 
tels Interrupts 11 statt. 

5 Im Normalbetrieb, wenn das erste Automatisierungsgerat feh- 
lerfrei als Master-Automatisierungsgerat 3a funktioniert, 
werden die Daten aus der technischen Einrichtung, welche 
durch die Feldgerate 17 erfasst sind, von beiden Automatisie- 
rungsgeraten 3a, 3b mittels jeweils mindestens eines Lesevor- 
10 gangs 19 laufend eingelesen; die Ausgabe von Steuerungsbef eh- 
len und sonstigen Einwirkungen auf Komponenten der techni- 
schen Einrichtung findet jedoch nur durch das Master- 
Automatisierungsgerat 3a mittels mindestens eines Schreibvor- 
gangs 21 statt. 

15 

Nach einem Umschalten auf das bisherige Stand-by- 
Automatisierungsgerat im Fehlerfall wird dieser Schreibvor- 
gang 21 vom zweiten Automatisierungsgerat 3b ubernommen; dies 
ist in der Figur durch eine gestrichelte Verbindung vom zwei- 
20 ten Automatisierungsgerat 3b zum Feldbus 15 angedeutet. 

Bei der Synchronisation der Automatisierungs-Tasks 7a, 7b mit- 
tels der Interrupts 11 findet vor jedem Task'-Aufruf eine Syn- 
chronisation von Timern, Zahlern, Prozessdaten und ggf . wei- 
25 terer interner sowie externer Daten statt. 

Erf indungsgemali ist beiden Automatisierungsgeraten 3a, 3b eine 
Speichereinheit 9 zugeordnet, auf welche beide Automatisie- 
rungsgerate 3a, 3b Zugriff haben. In dieser Speichereinheit 

30 sind im Wesentlichen Zustandsdaten der Automatisierungsgerate 
3a, 3b gespeichert, wobei die Speichereinheit 9 mindestens ei- 
nen Speicherbereich umfasst, der von beiden Automatisierungs- 
geraten 3a, 3b beschreib- und lesbar ist. Auf diese Weise sind 
zumindest die in diesem Speicherbereich vorhandenen Daten den 

35 Automatisierungsgeraten 3a, 3b parallel zur Verftigung ge- 

stellt. Da die beiden Automatisierungsgerate 3a, 3b somit tiber 
eine gemeinsame Datenbasis in Form der Speichereinheit 9 ver- 
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fugen, auf welche sie jeweils Zugriff haben, muss im Falle 
eines Fehlers des Master-Automatisierungsgerats 3a kein Spei- 
cherabgleich zwischen den Automatisierungsgeraten 3a und 3b 
erfolgen, zumindest was den Abgleich der oben genannten Zu- 
5 standsdaten angeht. Deshalb kann im Fehlerfall eine Umschal- 
tung vom Master-Automatisierungsgerat 3a auf das Stand-by- 
Automatisi-erungsgerat 3b sehr schnell und stolifrei erfolgen, 
wobei im Vergleich zu bekannten redundanten Automatisierungs- 
systemen der Realisierungsaufwand reduziert ist. Die im ge- 

10 meinsamen Speicherbereich der Speichereinheit 9 abgelegten 
Zustandsdaten der Automatisierungsgerate 3a, 3b umfassen alle 
Daten, welche einen aktuellen Betriebszustand der Automati- 
sierungsgerate 3a, 3b beschreiben wie beispielsweise die aktu- 
ellen Werte der aus der technischen Einrichtung an die Auto- 

15 matisierungsgerate ubermittelten Signale (Prozessabbild) , die 
aktuellen Werte der vom Master-Automatisierungsgerat an die 
technische Einrichtung ubermittelten Signale und Befehle so- 
wie erforderlichenfalls aktuelle Anfangswerte von Regelungs- 
algorithmen, welche mindestens ein dif f erenzierendes und/oder 

20 integrierendes Regelungsglied umfassen. 

Die Kenntnis des aktuellen Anfangswerts ist zum Zeitpunkt des 
Auftretens eines Fehlers des Master-Automatisierungsgerats 
wichtig, damit das bisherige Stand-by-Automatisierungsgerat 
25 die betref f enden . Regelungen kontinuierlich, insbesondere ohne 
Sprung einer RegelgroJie, weiterfuhren kann. 

Die Speichereinheit 9 ist bevorzugt ausgebildet als eine so- 
genannte ^Reflective Memory" -Baugruppe, welche als Baugruppe 

30 zur Verwendung bei Personal Computern erhaltlich ist. Physi- 
kalisch installiert wird diese Baugruppe bevorzugt in einem 
der Automatisierungsgerate 3a, 3b, wobei die Daten, die dieses 
Automatisierungsgerat in die Baugruppe schreibt, dann alien 
anderen Automatisierungsgeraten ebenfalls zur Verfvigung ste- 

35 hen. 
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Zusammenfassend lasst sich die vorliegende Erfindung folgen- 
dermalien umschreiben: 

Bei einem erf indungsgemalien redundanten Automatisierungssys- 
5 tern (1) sowie einem Verfahren zum Betrieb eines solchen Auto- 
matisierungssystems (1) sind zwei Automatisierungsgerate 
(3a, 3b) vorgesehen, welchen eine gemeinsame Speichereinheit 
zugeordnet ist, auf welche Zustandsdaten die Automatisie- 
rungsgerate (3a, 3b) speicherbar sind. Somit haben die Automa- 
10 tisierungsgerate (3a, 3b) unmittelbaren Zugriff auf eine ge- 
meinsame Datenbasis und ein Speicherabgleich im Falle eines 
Fehlers entfallt beim Umschalten auf das Stand-by- 
Automatisierungsgerat (3b) . • 
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Patentanspriiche 

1. Redundantes Automatisierungssystem (1) zur Steuerung einer 
technischen Einrichtung umfassend mindestens zwei Automa- 

5 tisierungsgerate (3a, 3b), wobei ein erstes der Automati- 

sierungsgerate als Master-Automatisierungsgerat (3a) und 
ein zweites der Automatisierungsgerate als Stand-by- 
Automatisierungsgerat (3b) ausgebildet ist, 
gekennzeichnet durch 

10 eine den mindestens zwei Automatisierungsgeraten (3a, 3b) 

zugeordnete Speichereinheit (9), auf welcher Zustandsdaten 
der Automatisierungsgerate (3a, 3b) speicherbar sind, wobei 
die Speichereinheit (9) einen gemeinsamen Speicherbereich 
umfasst, welcher von den mindestens zwei Automatisierungs- 

15 geraten (3a, 3b) beschreib- und lesbar ist, so dass die in 

diesem Speicherbereich vorhandenen Daten den Automatisie- 
rungsgeraten (3a, 3b) parallel zur Verfiigung stehen. 

2. Redundantes Automatisierungssystem (1) nach Anspruch 1, 
20 gekennzeichnet durch 

ein Oberwachungsmodul (23), mittels welchem der Betrieb 
des Master-AutomatisierungsgerSts (3a) iiberwachbar und im 
Falle eines Fehlers des Master-Automatisierungsgerats (3a) 
ein Umschalten auf das Stand-by-Automatisierungsgerat (3b) 
25 ermoglicht ist, welches daraufhin die Funktion des bishe- 

rigen Master-Automatisierungsgerats (3a) ubernimmt. 

3. Redundantes Automatisierungssystem (1) nach Anspruch 1 o- 
der 2, 

30 dadurch gekennzeichnet, dass 

im gemeinsamen Speicherbereich solche Zustandsdaten vor- 
handen sind, welche den aktuellen Betriebszustand der 
technischen Einrichtung und des Automatisierungssystems 
(1) unmittelbar .vor dem Zeitpunkt des Auftretens eines 

35 Fehlers des Master-Automatisierungsgerats (3a) beschrei- 

ben. 
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4. Redundantes Automatisierungssystem (1) nach Anspruch 2 o- 
der 3, 

dadurch gekennzeichnet, dass 
das Umschalten stoJifrei geschieht, indem mindestens ein 
5 Teil der im gemeinsamen Speicherbereich vorhandenen Daten 
vom Stand-by-Automatisierungsgerat (3b) als aktuelles Zu- 
standsabbild der technischen Einrichtung und des Automati- 
. sierungssystems (1) unmittelbar weiterverarbeitet wird. 

10 5, Verfahren zum Betrieb eines redundanten Automatisierungs- 
system (1) zur Steuerung einer technischen Einrichtung urn- 
fassend mindestens zwei Automatisierungsgerate (3a, 3b), 
wobei ein erstes der Automatisierungsgerate als Master- 
Automatisierungsgerat (3a) und ein zweites der Automati- 

15 sierungsgerate als Stand-by-Automatisierungsgerat (3b) be- 

trieben wird, 

dadurch gekennzeichnet, dass 

in eine den mindestens zwei Automatisierungsgeraten 

(3a, 3b) zugeordnete Speichereinheit (9) Zustandsdaten der 

20 Automatisierungsgerate (3a, 3b) gespeichert werden, wobei 
ein gemeinsamer Speicherbereich der Speichereinheit von 
den mindestens zwei Automatisierungsgeraten (3a, 3b) be- 
schrieben und ausgelesen werden kann, so dass die in die- 
sem Speicherbereich vorhandenen Daten den Automatisie- 

25 rungsgeraten (3a, 3b) parallel zur Verfugung stehen. 

6, Verfahren nach Anspruch 5, 

dadurch gekennzeichnet, dass 
der Betrieb des Master-Automatisierungsgeratsgerats (3a) 
30 iiberwacht und im Falle eines Fehlers des Master- 

Automatisierungsgerats (3a) auf das Stand-by- 
Automatisierungsgerat (3b) umgeschaltet wird, welches dar- 
aufhin die Funktion des bisherigen Master- 
Automat isierungsgerats (3a) ubernimmt . 

35 

7. Verfahren nach Anspruch 5 oder 6, 
dadurch gekennzeichnet, dass 
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im gemeinsamen Speicherbereich solche Zustandsdaten vor- 
handen sind, welche den aktuellen Betriebszustand der 
technischen Einrichtung und des Automatisierungssystems 
(1) unmittelbar vor dem Zeitpunkt des Auftretens eines 
5 Fehlers des Master-Automatisierungsgerats (3a) beschrei- 

' ben. 

8. Verfahren nach Anspruch 6 oder 7, 

dadurch gekennzeichnet, dass 

10 das Umschalten stolifrei durchgefuhrt wird, indem mindes- 

tens ein Teil der im gemeinsamen Speicherbereich vorhande- 
nen Daten vom Stand-by-Automatisierungsgerat (3b) als ak- 
tuelles Zustandsabbild der technischen Einrichtung und des 
Automatisierungssystems (1) unmittelbar weiterverarbeitet 

15 wird. 
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